-
Junior Member
- Вес репутации
- 58
Вирусы в браузере [Trojan.MSIL.Agent.aakvi]
Здравствуйте.
Поймал проблему: всплывающие рекламные окна в браузерах(хром, мозилла, опера), не могу изменить автозапуск, что-то блокирует любые попытки. Проверил Dr.Web CureIt! диск С, нашел кучу скрипотов js и несколько вирусов, почистил. Ничего не изменилось. В автозагрузке есть файл wincheck.exe, ни удаляется ничем. Как вирус не определяется.
Помогите удалить заразу.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Уважаемый(ая) Wedmak, спасибо за обращение на наш форум!
Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
-
-
Внимание !!! База поcледний раз обновлялась 23.02.2014 необходимо обновить базы при помощи автоматического обновления (Файл/Обновление баз)
Обновите базы AVZ. Сделайте новые логи
-
-
Junior Member
- Вес репутации
- 58
Базы обновил, новые файлы прикрепил.
-
Внимание! Рекомендации написаны специально для этого пользователя. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе.
Если у вас похожая проблема - создайте тему в разделе Лечение компьютерных вирусов и выполните Правила оформления запроса о помощи.
Здравствуйте!
Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.
Важно! на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. Выполните скрипт в АВЗ (Файл - Выполнить скрипт):
Код:
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
end;
ClearQuarantine;
TerminateProcessByName('c:\users\Пользователь\appdata\local\microsoft\windows\toolbar.exe');
QuarantineFile('C:\iexplore.bat','');
QuarantineFile('C:\Users\Пользователь\AppData\Roaming\newnext.me\nengine.dll','');
QuarantineFile('C:\Users\Пользователь\AppData\Local\wincheck\wincheck.exe','');
QuarantineFile('C:\Program Files (x86)\Google\chrome.bat','');
QuarantineFile('c:\users\Пользователь\appdata\local\microsoft\windows\toolbar.exe','');
DeleteFile('c:\users\Пользователь\appdata\local\microsoft\windows\toolbar.exe','32');
DeleteFile('C:\Program Files (x86)\Google\chrome.bat','32');
DeleteFile('C:\Program Files (x86)\Mobogenie\DaemonProcess.exe','32');
DeleteFile('C:\Program Files (x86)\baidu\baidu.exe','32');
DeleteFile('C:\Users\Пользователь\AppData\Local\wincheck\wincheck.exe','32');
DeleteFile('C:\Users\Пользователь\AppData\Roaming\newnext.me\nengine.dll','32');
DeleteFile('C:\iexplore.bat','32');
DeleteFile('C:\Windows\system32\Tasks\SystemScript','64');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\mobilegeni daemon','command');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\baidu','command');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','WinCheck');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\NextLive','command');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(2);
RebootWindows(false);
end.
Внимание! Будет выполнена перезагрузка компьютера. После перезагрузки компьютера выполните скрипт в АВЗ:
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
Пришлите карантин согласно Приложения 2 правил по красной ссылке Прислать запрошенный карантин вверху темы
Пофиксите следующие строчки в HiJackThis (некоторые строки могут отсутствовать).
Код:
O2 - BHO: Спутник@Mail.Ru - {8984B388-A5BB-4DF7-B274-77B879E179DB} - (no file)
O2 - BHO: (no name) - {A7DF592F-6E2A-45C4-9A87-4BD217D714ED} - (no file)
O2 - BHO: (no name) - {D5FEC983-01DB-414a-9456-AF95AC9ED7B5} - (no file)
Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip;hijackthis.log)
- Скачайте AdwCleaner (by Xplode) и сохраните его на Рабочем столе.
- Запустите его (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" и дождитесь окончания сканирования.
- Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[R0].txt.
- Прикрепите отчет к своему следующему сообщению.
Подробнее читайте в этом руководстве.
-
-
Junior Member
- Вес репутации
- 58
-
- Запустите повторно AdwCleaner (by Xplode) (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan", а по окончанию сканирования нажмите кнопку "Очистить" ("Clean") и дождитесь окончания удаления.
- Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[S0].txt.
- Прикрепите отчет к своему следующему сообщению
Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.
Подробнее читайте в этом руководстве.
- Скачайте CheckBrowserLnk и сохраните архив с утилитой на Рабочем столе
- Распакуйте архив с утилитой в отдельную папку
- Запустите checkbrowserlnk.exe
Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите Да
- После окончания работы программы на рабочем столе будет сохранен отчет CheckBrowserLnk.log
- Прикрепите этот отчет в вашей теме.
-
-
Junior Member
- Вес репутации
- 58
Вроде чисто.
- - - - -Добавлено - - - - -
Сообщение от
Wedmak
Вроде чисто.
Извиняюсь не тот файл вложил.
-
-
-
Junior Member
- Вес репутации
- 58
-
- Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
Код:
CreateRestorePoint:
HKLM-x32\...\Run: [WinCheck] => C:\Users\Пользователь\AppData\Local\wincheck\wincheck.exe
CHR HKLM\SOFTWARE\Policies\Google: Policy restriction <======= ATTENTION
BHO-x32: No Name -> {8984B388-A5BB-4DF7-B274-77B879E179DB} -> No File
BHO-x32: No Name -> {A7DF592F-6E2A-45C4-9A87-4BD217D714ED} -> No File
BHO-x32: No Name -> {D5FEC983-01DB-414a-9456-AF95AC9ED7B5} -> No File
Toolbar: HKU\S-1-5-21-4089980803-3195541541-2592835429-1000 -> No Name - {09900DE8-1DCA-443F-9243-26FF581438AF} - No File
Toolbar: HKU\S-1-5-21-4089980803-3195541541-2592835429-1000 -> No Name - {49D931C3-97C7-46BF-850F-83CC98E81623} - No File
CHR HKLM-x32\...\Chrome\Extension: [cncgohepihcekklokhbhiblhfcmipbdh] - No Path
CHR HKLM-x32\...\Chrome\Extension: [gdknicmnhbaajdglbinpahhapghpakch] - No Path
CHR HKLM-x32\...\Chrome\Extension: [gehngeifmelphpllncobkmimphfkckne] - No Path
CHR HKLM-x32\...\Chrome\Extension: [jedelkhanefmcnpappfhachbpnlhomai] - No Path
CHR HKLM-x32\...\Chrome\Extension: [pchfckkccldkbclgdepkaonamkignanh] - No Path
CHR HKLM-x32\...\Chrome\Extension: [pganlglbhgfjfgopijbhemcpbehjnpia] - No Path
OPR Extension: (Dolka.ru) - C:\Users\Пользователь\AppData\Roaming\Opera Software\Opera Stable\Extensions\pheobeikgpfdjfnlnhinkcogflmkcmlc [2014-06-24]
S1 aiepavas; \??\C:\Windows\system32\drivers\aiepavas.sys [X]
S1 aoqnicma; \??\C:\Windows\system32\drivers\aoqnicma.sys [X]
S1 apsesfcz; \??\C:\Windows\system32\drivers\apsesfcz.sys [X]
S1 bzdyiboo; \??\C:\Windows\system32\drivers\bzdyiboo.sys [X]
S1 cbryzpva; \??\C:\Windows\system32\drivers\cbryzpva.sys [X]
S1 ccehmgbc; \??\C:\Windows\system32\drivers\ccehmgbc.sys [X]
S1 cikkidjq; \??\C:\Windows\system32\drivers\cikkidjq.sys [X]
S1 clarvzsn; \??\C:\Windows\system32\drivers\clarvzsn.sys [X]
S1 cprywhui; \??\C:\Windows\system32\drivers\cprywhui.sys [X]
S1 dcqjbikt; \??\C:\Windows\system32\drivers\dcqjbikt.sys [X]
S1 dnghdhno; \??\C:\Windows\system32\drivers\dnghdhno.sys [X]
S1 eqmbwchl; \??\C:\Windows\system32\drivers\eqmbwchl.sys [X]
S1 fnktwcni; \??\C:\Windows\system32\drivers\fnktwcni.sys [X]
S1 fyxosdub; \??\C:\Windows\system32\drivers\fyxosdub.sys [X]
S1 gsvxblfe; \??\C:\Windows\system32\drivers\gsvxblfe.sys [X]
S1 gtajqztg; \??\C:\Windows\system32\drivers\gtajqztg.sys [X]
S1 hbypwexy; \??\C:\Windows\system32\drivers\hbypwexy.sys [X]
S1 hlmoforl; \??\C:\Windows\system32\drivers\hlmoforl.sys [X]
S1 hloamfzf; \??\C:\Windows\system32\drivers\hloamfzf.sys [X]
S1 hshbkfub; \??\C:\Windows\system32\drivers\hshbkfub.sys [X]
S1 iauqlkfg; \??\C:\Windows\system32\drivers\iauqlkfg.sys [X]
S1 iciawige; \??\C:\Windows\system32\drivers\iciawige.sys [X]
S1 irawnusl; \??\C:\Windows\system32\drivers\irawnusl.sys [X]
S1 jcirlqxq; \??\C:\Windows\system32\drivers\jcirlqxq.sys [X]
S1 jkafkuxi; \??\C:\Windows\system32\drivers\jkafkuxi.sys [X]
S1 jxtulpek; \??\C:\Windows\system32\drivers\jxtulpek.sys [X]
S1 kdaeqmhb; \??\C:\Windows\system32\drivers\kdaeqmhb.sys [X]
S1 kkoamder; \??\C:\Windows\system32\drivers\kkoamder.sys [X]
S1 kkrafzku; \??\C:\Windows\system32\drivers\kkrafzku.sys [X]
S1 knbfbldr; \??\C:\Windows\system32\drivers\knbfbldr.sys [X]
S1 ljsdvbuw; \??\C:\Windows\system32\drivers\ljsdvbuw.sys [X]
S1 lrvdfpye; \??\C:\Windows\system32\drivers\lrvdfpye.sys [X]
S1 mejksxuq; \??\C:\Windows\system32\drivers\mejksxuq.sys [X]
S1 mhpolbkg; \??\C:\Windows\system32\drivers\mhpolbkg.sys [X]
S1 mnktrvmc; \??\C:\Windows\system32\drivers\mnktrvmc.sys [X]
S1 movqtsrf; \??\C:\Windows\system32\drivers\movqtsrf.sys [X]
S1 nebbdfzy; \??\C:\Windows\system32\drivers\nebbdfzy.sys [X]
S1 ockxdyav; \??\C:\Windows\system32\drivers\ockxdyav.sys [X]
S1 oixvwxar; \??\C:\Windows\system32\drivers\oixvwxar.sys [X]
S1 pesqxfco; \??\C:\Windows\system32\drivers\pesqxfco.sys [X]
S1 pfrumiye; \??\C:\Windows\system32\drivers\pfrumiye.sys [X]
S1 phbpzlkg; \??\C:\Windows\system32\drivers\phbpzlkg.sys [X]
S1 phxwudai; \??\C:\Windows\system32\drivers\phxwudai.sys [X]
S1 pupxndxy; \??\C:\Windows\system32\drivers\pupxndxy.sys [X]
S1 pxgbcgoc; \??\C:\Windows\system32\drivers\pxgbcgoc.sys [X]
S1 qobozgqv; \??\C:\Windows\system32\drivers\qobozgqv.sys [X]
S1 qzsgymvz; \??\C:\Windows\system32\drivers\qzsgymvz.sys [X]
S1 sofqmoli; \??\C:\Windows\system32\drivers\sofqmoli.sys [X]
S1 sojlezus; \??\C:\Windows\system32\drivers\sojlezus.sys [X]
S1 srfslgiz; \??\C:\Windows\system32\drivers\srfslgiz.sys [X]
S1 stysiypi; \??\C:\Windows\system32\drivers\stysiypi.sys [X]
S1 svvxqphu; \??\C:\Windows\system32\drivers\svvxqphu.sys [X]
S1 tcadwsqn; \??\C:\Windows\system32\drivers\tcadwsqn.sys [X]
S1 thothjnn; \??\C:\Windows\system32\drivers\thothjnn.sys [X]
S1 tloaktjy; \??\C:\Windows\system32\drivers\tloaktjy.sys [X]
S1 uelunwuq; \??\C:\Windows\system32\drivers\uelunwuq.sys [X]
S1 umfqegnr; \??\C:\Windows\system32\drivers\umfqegnr.sys [X]
S1 urlkehnl; \??\C:\Windows\system32\drivers\urlkehnl.sys [X]
S1 uxjnviqq; \??\C:\Windows\system32\drivers\uxjnviqq.sys [X]
S1 vqvebnhf; \??\C:\Windows\system32\drivers\vqvebnhf.sys [X]
S1 vthshslf; \??\C:\Windows\system32\drivers\vthshslf.sys [X]
S1 vuzhxegb; \??\C:\Windows\system32\drivers\vuzhxegb.sys [X]
S1 wetvqwkk; \??\C:\Windows\system32\drivers\wetvqwkk.sys [X]
S1 wmmmokzj; \??\C:\Windows\system32\drivers\wmmmokzj.sys [X]
S1 wowscpyf; \??\C:\Windows\system32\drivers\wowscpyf.sys [X]
S1 xehfbwxk; \??\C:\Windows\system32\drivers\xehfbwxk.sys [X]
S1 xgotxsqo; \??\C:\Windows\system32\drivers\xgotxsqo.sys [X]
S1 xqshjhmb; \??\C:\Windows\system32\drivers\xqshjhmb.sys [X]
S1 xsdabgdq; \??\C:\Windows\system32\drivers\xsdabgdq.sys [X]
S1 ymttemyq; \??\C:\Windows\system32\drivers\ymttemyq.sys [X]
S1 yrbtwveg; \??\C:\Windows\system32\drivers\yrbtwveg.sys [X]
S1 yvpjuysk; \??\C:\Windows\system32\drivers\yvpjuysk.sys [X]
S1 zfwmxlok; \??\C:\Windows\system32\drivers\zfwmxlok.sys [X]
2015-01-21 16:39 - 2015-01-21 11:23 - 00000129 ____H () C:\Users\Пользователь\Desktop\chrome.bat
2015-01-21 12:03 - 2015-01-21 12:04 - 00000000 ____D () C:\Users\Пользователь\AppData\Roaming\Torrent Search
2015-01-21 12:03 - 2015-01-21 12:04 - 00000000 ____D () C:\Users\Пользователь\AppData\Roaming\Media Saver
2015-01-21 12:03 - 2015-01-21 12:03 - 00000000 __SHD () C:\Users\Пользователь\AppData\Local\EmieBrowserModeList
2015-01-21 11:23 - 2014-11-27 04:43 - 00813744 ____H (Microsoft Corporation) C:\iехplоrе.bаt.exe
2015-02-13 16:17 - 2014-03-27 12:53 - 00000000 ____D () C:\Users\Все пользователи\d8e3be7571becc8
2015-02-13 16:17 - 2014-03-27 12:53 - 00000000 ____D () C:\ProgramData\d8e3be7571becc8
2015-01-22 09:17 - 2012-01-16 12:37 - 00001244 __RSH () C:\Users\Все пользователи\ntuser.pol
2015-01-22 09:17 - 2012-01-16 12:37 - 00001244 __RSH () C:\ProgramData\ntuser.pol
Task: {C6807C3C-0874-4FF6-8476-05F658600080} - \SystemScript No Task File <==== ATTENTION
AlternateDataStreams: C:\ProgramData\TEMP:D282699C
AlternateDataStreams: C:\Users\Все пользователи\TEMP:D282699C
AlternateDataStreams: C:\Users\Пользователь\Local Settings:wa
AlternateDataStreams: C:\Users\Пользователь\Desktop\старая астрахань 2:com.dropbox.attributes
AlternateDataStreams: C:\Users\Пользователь\AppData\Local:wa
AlternateDataStreams: C:\Users\Пользователь\AppData\Local\Application Data:wa
EmptyTemp:
Reboot:
- Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
- Обратите внимание, что компьютер будет перезагружен.
-
-
Junior Member
- Вес репутации
- 58
-
-
-
Junior Member
- Вес репутации
- 58
Я по прежнему не могу удалять программы из автозагрузки. Через msconfig, как только жму "применить", галочки встают обратно. Запуск wincheck.exe висит по прежнему.
-
- Скачайте Universal Virus Sniffer (uVS)
- Извлеките uVS из архива или из zip-папки. Откройте папку с UVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
- Выберите меню "Файл" => "Сохранить полный образ автозапуска". Программа предложит вам указать место сохранения лога в формате "имя_компьютера_дата_сканирования". Лог необходимо сохранить на рабочем столе.
!!!Внимание. Если у вас установлены архиваторы WinRAR или 7-Zip, то uVS в автоматическом режиме упакует лог в архив, иначе это будет необходимо сделать вам вручную.
- Дождитесь окончания работы программы и прикрепите лог к посту в теме.
!!! Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите "Да".
-
-
Junior Member
- Вес репутации
- 58
Выполнил.
Вчера попробовал поставить хром с официального сайта. Опять вылезла реклама в хроме, и куда-то исчезли сохраненные ссылки в файрфоксе.
-
Выполните скрипт в uVS:
Код:
;uVS v3.85.6 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v385c
breg
delref %SystemDrive%\PROGRAM FILES (X86)\COMMON FILES\BAIDU\BDDOWNLOAD\107\BDCOMPROXY.DLL
delref %SystemDrive%\USERS\ПОЛЬЗОВАТЕЛЬ\APPDATA\LOCAL\WINCHECK\WINCHECK.EXE
regt 27
restart
Компьютер перезагрузится. В хроме попробуйте отключить все расширения.
-
-
Junior Member
- Вес репутации
- 58
Хром удалили. После выполнения скрипта тоже самое: не могу изменить автозапуск.
-
Сообщение от
Wedmak
Хром удалили. После выполнения скрипта тоже самое: не могу изменить автозапуск.
Вообще этого файла давно уже нет на компьютере, похоже осталась только запись в реестре.
- Скачайте архив с утилитой Registry Search и распакуйте его в отдельную папку на рабочем столе.
- Запустите утилиту.
- В верхнем окне, предназначенном для поиска введите:
- Нажмите кнопку "OK".
- В блокноте откроется текст, скопируйте его и вставьте в следующее сообщение.
-
-
Junior Member
- Вес репутации
- 58
Выполнил.
Windows Registry Editor Version 5.00
; Registry Search 2.0 by Bobbi Flekman © 2005
; Version: 2.0.6.0
; Results at 18.02.2015 11:13:00 for strings:
; 'wincheck'
; Strings excluded from search:
; (None)
; Search in:
; Registry Keys Registry Values Registry Data
; HKEY_LOCAL_MACHINE HKEY_USERS
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Run]
"WinCheck"="C:\\Users\\Пользователь\\AppData\\Loca l\\wincheck\\wincheck.exe"
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\services\v dm0mji2]
"DelFile6"="\\??\\C:\\Users\\Пользователь\\AppData \\Local\\wincheck\\wincheck.exe"
"QrFile7"="\\??\\C:\\Users\\Пользователь\\AppData\ \Local\\wincheck\\wincheck.exe"
"QrFile8"="\\??\\C:\\Users\\Пользователь\\AppData\ \Local\\wincheck\\wincheck.exe"
"QrFile9"="\\??\\C:\\Users\\Пользователь\\AppData\ \Local\\wincheck\\wincheck.exe"
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\services\v dm0mji2]
"DelFile6"="\\??\\C:\\Users\\Пользователь\\AppData \\Local\\wincheck\\wincheck.exe"
"QrFile7"="\\??\\C:\\Users\\Пользователь\\AppData\ \Local\\wincheck\\wincheck.exe"
"QrFile8"="\\??\\C:\\Users\\Пользователь\\AppData\ \Local\\wincheck\\wincheck.exe"
"QrFile9"="\\??\\C:\\Users\\Пользователь\\AppData\ \Local\\wincheck\\wincheck.exe"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\servic es\vdm0mji2]
"DelFile6"="\\??\\C:\\Users\\Пользователь\\AppData \\Local\\wincheck\\wincheck.exe"
"QrFile7"="\\??\\C:\\Users\\Пользователь\\AppData\ \Local\\wincheck\\wincheck.exe"
"QrFile8"="\\??\\C:\\Users\\Пользователь\\AppData\ \Local\\wincheck\\wincheck.exe"
"QrFile9"="\\??\\C:\\Users\\Пользователь\\AppData\ \Local\\wincheck\\wincheck.exe"
; End Of The Log...